Skip to content

Generalmajor Odd Egil Pedersen, sjef Cyberforsvaret. Foto: Forsvaret

Foredrag i Oslo Militære Samfund
mandag 2. februar 2015

Generalmajor Odd Egil Pedersen
Sjef Cyberforsvaret

«Gir IKT-satsingen til Forsvaret en forsvarbar informasjonsinfrastruktur og et fundament for moderne militære operasjoner?»

Forsvarssjef.

Ærede forsamling.

Det er i dag to år siden Cyberforsvaret sist holdt foredrag for denne forsamlingen. Min forgjenger, generalmajor Roar Sundseth, ga et bilde av status og utfordringer knyttet til cybertrusselen mot Forsvaret og samfunnet generelt. La meg benytte anledningen til å oppsummere hans konklusjoner:

For det første: Forsvaret digitaliseres i økende grad, og selv om nettverksbaseringen av Forsvaret gir oss en økt operativ evne så åpner det også for ny risiko som må håndteres.

For det andre: Trusselen i det digitale rom er økende.

Og, for det tredje – samarbeid basert på tillit er nøkkelen til å løse samfunnets utfordringer på digitale trusler.

Utviklingen i Norge de siste to årene har vist at Sundseths vurderinger for to år siden var fremtidsrettet og i høyeste grad relevante – også i dag.

Jeg har derfor ingen intensjon om å bruke tid på å gjenta et bilde som er i ferd med å bli forstått av flere og flere.

Det er stor interesse for cyberforsvar. Vi har hatt en jevn strøm av personer i ledende stillinger på besøk både fra Forsvarssektoren, Politidirektoratet, Statsministeren, ledende Stortingspolitikere og nå Kongehuset. De har alle hatt et ønske om å bli orientert om måten vi arbeider på.

Jeg vil heller ikke bruke tid på å presentere trusselvurderinger eller sikkerhetsvurderinger som berører det digitale rom. Det ansvaret ligger hos EOS tjenestene, og vi vil alle få deres syn presentert i ulike publikasjoner i månedene som kommer.

Det jeg ønsker å snakke om er grunnfjellet i Cyberforsvarets virksomhet. Vår evne til å knytte strategisk, operasjonelt og taktiske hovedkvarter sammen med nasjonale og alliansens militære kapasiteter, hvilke utfordringer vi har i dag, og ikke minst i årene som kommer.

Jeg snakker i egenskap av Forsvarets Chief Information Officer (CIO) eller Forsvarets IKT sjef om dere vil. Mitt ansvar i følge min instruks er å se til at IKT strategien er tilpasset Forsvarets innretning samt at IKT tjenestene understøtter Forsvarets virksomhet til enhver tid.

I foredraget har jeg forsøkt å forenkle språket på en måte som forhåpentligvis kommuniserer godt, men ikke yter full rettferdighet til den store bredden av fagpersonell som finnes i Forsvarets IKT organisasjoner. Jeg sier konsekvent IKT men betydningen favner både informasjons­infrastruktur og samband.

Tillat meg innledningsvis å sette rammen for foredraget ved å referere til Forsvarets tre strategiske mål for bruk av IKT, hentet fra Forsvarssjefens IKT-strategi.

Det første målet er økt operativ evne: IKT skal bidra til å forbedre Forsvarets evne til å løse oppgaver hjemme og ute, samt legge til rette for å knytte Forsvarets strukturelementer sammen i nettverk, fra strategisk nivå til strids-teknisk nivå både nasjonalt, med allierte styrker og partnere, samt med relevante sivile instanser. Dette skal bidra til effektiv informasjonsutveksling, økt situasjonsbevissthet, økt tempo, økt presisjon og dermed også økt operativ evne i alle deler av Forsvarets virksomhet.

Det andre målet er handlefrihet i Cyberdomenet. IKT-området skal organiseres og utnyttes på en måte som sikrer evnen til å forhindre og varsle alle former for angrep mot Forsvarets IKT. Det skal legges vekt på effektive virkemidler for å hindre eller minske skadevirkninger, og raskt å kunne gjenopprette normalt samband.

Generalmajor Odd Egil Pedersen, sjef Cyberforsvaret. Foto: Forsvaret

Det tredje målet er Bærekraftig utvikling. IKT-området skal utvikles videre i tråd med fornyings- og forbedringsarbeidet i Forsvaret. Innfasing av nye systemer og tjenester skal ledsages av en tilsvarende utfasing av gamle og lite fremtidsrettede systemer. Det skal legges vekt på å forenkle informasjonsinfrastrukturen og redusere det faste kostnadsnivået.

Kort oppsummert: Forsvaret skal ha evne til å utnytte cyberdomenet for å øke den operative evnen på en sikker og kosteffektiv måte. Denne korte oppsummeringen av Forsvarssjefens strategiske mål er såpass treffende at det kunne vært en virksomhetsbeskrivelse for min organisasjon, og for resten av IKT-virksomheten i Forsvaret.

Er vi så på rett vei i forhold til å realisere Forsvarssjefens strategiske mål?

Skal jeg se helhetlig på utfordringene innenfor IKT-området i Forsvaret så vil svaret mitt være nei. Vi er ikke kommet mye nærmere å realisere Forsvarssjefens strategiske målsetninger for IKT i dag enn det vi var for ett år siden når jeg startet i jobben, og neste år kan situasjonen bli verre.

Det er kanskje en sterk måte å innlede et foredrag på med en slik påstand, men jeg har alltid hatt som prinsipp at man som sjef må være ærlig i forhold til de utfordringene man har. Jeg har brukt det siste året på å søke å løse utfordringene Forsvaret har på dette området innenfor de rammene som har vært etablert. Jeg har ikke kjempet mot forutsetningene. Min konklusjon etter et drøyt år er at vi må gjøre grep dersom vi skal realisere Forsvarssjefens strategiske mål.

Det er mange som mener det er mye å spare innenfor IKT-området i Forsvaret. De siste månedene av 2014 ble jeg og min stab intervjuet av tre forskjellige eksterne konsulentselskaper på bestilling fra Forsvarsdepartementet og Forsvarsstaben. Alle på jakt etter besparelser.

Jeg har sagt min mening – og en del av det jeg har sagt skal dere få høre nå.

Forsvaret er en stor bruker av IKT. Som resten av det norske samfunnet gjennomsyrer IKT all vår virksomhet, på alle nivåer og innenfor alle dimensjoner av vår organisasjon.

La meg begynne med forvaltningssystemene våre. Vi bruker IKT i alle våre prosesser, til saksbehandling og arkivering av informasjon. Vi bruker IKT i alle prosesser knyttet til budsjettering, regnskapsføring og økonomisk rapportering. Vi bruker IKT for å holde oversikt over lagerbeholdning av materiell og reservedeler, og IKT er sentralt for alle prosesser innenfor rekruttering, personellforvaltning og karriereplanlegging. Uten IKT-verktøyene våre vil vi ikke være i stand til å gjennomføre sesjonering, kalle inn vernepliktige eller forvalte vernepliktige og Heimevernsmannskaper.

Minst like viktige er IKT for vår operative virksomhet. IKT muliggjør nettverksbasert forsvar og er selve fundamentet for effektiv ledelse.

La meg få referere fra en oppsummering av erfaringene fra ulike fellesoperative øvelser gjort for et år tilbake;

De fellesoperative målsettingene har vist seg vanskelige å oppnå grunnet manglende interoperabilitet mellom taktiske sjefer, og kanskje spesielt mellom kampsystemer på nivåene under de taktiske sjefene. Like fullt er det i forbindelse med gjennomføringen av de fellesoperative øvelsene målt betydelig fremgang med samhandling innen en rekke viktige felt som JISR (Joint Intelligence, Surveillance and Reconnaissance), og logistikk. Det er også verdt å nevne at Norge har utmerket seg i svært positiv retning under flere allierte og multinasjonale eksperimenter og øvelser de siste årene. Her har våre sambands- og IKT-løsninger og ikke minst vårt personell vist seg å være svært langt fremme, sammenlignet med selv de store nasjonene i NATO.

Det er verdt å merke seg at vi har kommet dit vi er i dag gjennom en vesentlig integrering av IKT i Forsvaret. Når vi skal styrke nettverksbaseringen så vil det skje gjennom ytterligere IKT-integrasjon på alle nivåer i vår operative struktur og på tvers av forsvarsgrenene.

I fremtiden vil nettverkstilknytningen gå hele veien ned til den enkelte kampplattform og soldat. Vi vil oppnå større operativ effekt ved at vi evner å knytte sammen land- sjø- og luftstyrker på helt andre måter enn tidligere.

Likeledes er evnen til å bringe informasjon fra sensorer og etterretning og sammenstille det til et situasjonsbilde til operativt hovedkvarter avhengig av IKT. Logistikkstøtten til operative avdelinger fra FLO er avhengig av datakraft og det samme er både strategisk og operasjonelt hovedkvarters operasjonsplanlegging.

IKT er altså en premissgiver for hele den operative virksomheten til Forsvaret.

Forsvarets kommunikasjonsinfrastruktur er motorvegen vi har etablert for transport av store mengder data, både mellom forvaltningssystemene og de operative systemene. Denne infrastrukturen er – enkelt sagt – en kombinasjon av fiberoptikk, radiolinje, satellitt og radio kommunikasjon og knytter datasystemene til Forsvaret sammen i et landsomspennende nettverk. Det er også denne infrastrukturen som sørger for at operasjonene med allierte, eller våre fly og fartøy utenfor Norges territorialgrense kan ledes fra vårt operative hovedkvarter og støttes med etterretninger fra E-tjenesten.

Denne infrastrukturen ble, på lik linje med mye av vår øvrige militære infrastruktur, i stor grad finansiert av NATO på 50- og 60-tallet. Den har vært modernisert noe over de siste årene, men fortsatt må vi erkjenne at mye av den er utdatert, sårbar og ikke minst kostbar. For å redusere driftsutgiftene på IKT-siden, og dermed også frigjøre midler og årsverk for å modernisere min del av virksomheten er jeg avhengig av investeringer.

De siste årene har deler av vår infrastrukture blitt modernisert med fiberoptiske kabler – det må fortsette. Det gir økt overføringshastighet og evne til å overføre større volum av data, men har samtidig også noen sårbarheter som vi må være klar over.

Forsvarssjef Admiral Haakon Bruun-Hanssen innsetter Generalmajor Odd Egil Pedersen som ny sjef for Cyberforsvaret. Tidligere sjef Generalmajor Roar Sundseth går av med pensjon. Foto: Forsvaret

Samtidig er det en forutsetning for det moderne Forsvaret at vi evner å transportere økte mengder data fordi våre forvaltningsmessige og operative behov krever det. Vårt kjernenett – altså ryggraden – vil hovedsakelig bestå av fiberoptikk fra sør til nord – og aksessnettet – armene, beina og hodet om dere vil – som knytter våre baser, flyplasser og leirer til kjernenettet vil i grovt bestå av radiolinje. Økt bruk av ny radioteknologi og eventuelt leid satellittkommunikasjon for mobile enheter vil måtte komplettere denne løsningen.

Når man fra politisk og militært hold sier at nordområdene blir stadig viktigere – får det også konsekvenser for Forsvarets IKT. Forsvaret kan ikke operere i dette området uten samband. Vi ser derfor på konseptuelle løsninger som kan være en kombinasjon av leide satellitter med nåværende teknologi, ny radio – og ny satellitt-teknologi. Det er dyktige folk hos meg som mener det går an å gjøre dette rimeligere enn dagens løsning, og vi vil orientere om det når FSJ inspiserer oss i neste uke.

I november måned ble jeg orientert om at investerings­budsjettene innenfor mitt fagområde blir redusert med omtrent 50 % i 2015, og omtrent 70 % i de påfølgende år i planperioden. Jeg skal ikke gå detaljert inn på årsakene til dette, men det er kjent for alle her at Forsvaret står ovenfor store kostnadsmessige utfordringer knyttet til anskaffelsen av F-35 og utbyggingen av Ørland hovedflystasjon.

IKT-investeringene i Forsvaret er svært sammensatt, og avhengighetene er mange. Om man trekker ut enkelttråder fra veven får det konsekvenser for helheten, og resultatet blir en klar svekking. Ikke bare av den operative evne, men også sikkerheten og de effektiviseringer og ressursbesparelser som vi søker å oppnå.

La meg benytte muligheten til å si litt om det som gjør at investeringer innenfor IKT-området skiller seg fra anskaffelser av mer tradisjonelt materiell som f eks våpen, kjøretøy, fartøy og fly.

Den største forskjellen er levetiden på materiellet. En stor andel av vårt IKT-materiellet er i utgangspunktet sivilt, og kjennetegnes av svært hurtig teknologisk utvikling. Dette gjelder spesielt programvare og maskinvare. Denne typen materiell må skiftes ut eller oppgraderes hvert 3-4 år. Praksis har vist at IKT prosjekter går for sent gjennom investeringsprosessen – tatt i betraktning at dette må anses som «ferskvare». Jeg mener vi må se nytt på hvordan vi fremskaffer materiell på IKT- og sambandssiden. Uten å gå i detalj på mulige løsninger her og nå, vil jeg nevne eksempler på noen områder vi bør undersøke nærmere.

Gjenbruk av NATO-løsninger
Tilpasning av sivile trender
Fjerning av flaskehalser og tidstyver i investeringsprosessen og samtidig sørge for at investeringskonseptet tar inn over seg de særegenhetene som IKT investeringer innebærer
I større grad utnytte det potensialet som ligger i å videreutvikle IKT gjennom løpende endringer i drift.

I de senere år har vi registrert at driftskostnadene øker ved innføringen av nytt IKT-materiell, spesielt har kostnadene på taktisk nivå økt betydelig. Dette skyldes blant annet at tilgangen på data og informasjon har utviklet seg kolossalt. Dette krever en nærmest kontinuerlig utvidelse av lagringskapasiteten, videre har utbredelsen av IKT-materiell økt. Som en følge av dette vil blant annet lisenskostnadene øke i betydelig grad. Videre øker kompleksiteten i systemene, noe som igjen medfører behov for mer og bedre utdannet teknisk personell. På den andre siden vil denne utviklingen forhåpentligvis medføre at vår operative evne vil øke.

På den stasjonære og strategiske siden er det imidlertid store behov for nye investeringer for å kunne redusere og kutte kostnader. Vi er nødt til å investere i en moderne og fremtidsrettet IKT-infrastruktur som kan være bærekraftig over tid. Det vil si at vi må finne den optimale balansen mellom ytelse og driftskostnader.

Vi må ansvarliggjøre interessentene til å hente ut de gevinstene som brukes som argumenter når nye IKT behov remmes.

De tidligere omtalte reduksjoner i investeringsporteføljen innenfor IKT-området vil åpenbart ha negative konsekvenser for muligheten til å utnytte potensialet og egenskapene til Forsvarets nye avanserte plattformer som eksempelvis F-35, nye fregatter og kampkjøretøy. Om ikke den operative evnen blir direkte redusert som en følge av dette, vil den helt sikkert ikke bli forbedret, slik forutsetningen har vært. Reduksjonene i investeringsporteføljen vil videre medføre at mulighetene for å oppnå forventede og pålagte kostnadsreduksjoner i IKT-infrastrukturen blir begrenset.

Disse forholdene som jeg her har berørt er «min» største «hodepine». Så vil kanskje flere av dere si at dette ikke er nytt. Men jeg tror ikke man har opplevd at noe programområde i Forsvaret tidligere har fått kuttet investeringsbudsjetter med så mye som 70 prosent i løpet av så kort tid. Det får betydning for Forsvarets totale operative evne.

La meg videre snakke om den neste store utfordringen Forsvaret har på IKT-siden – Organisering.

Jeg nevnte innledningsvis at jeg er Chief Information Officer for Forsvaret – Forsvarssjefens IKT sjef. Mitt ansvar er altså å se til at IKT strategien er tilpasset Forsvarets innretning samt at IKT tjenestene understøtter Forsvarets virksomhet til enhver tid.

Utfordringen for meg er at det er flere sjefer med et delansvar for IKT i Forsvaret, som opererer med til dels ulike mål og prioriteringer.

Sjef CYFOR er ansvarlig for å etablere, operere, drifte og beskytte informasjons­infrastrukturen, styrkeprodusere IKT-kapasiteter og gi operasjonsstøtte til Forsvarets planlagte og pågående operasjoner.

Sjef LOS-programmet og Sjef Forsvarets FIF-administrasjon utvikler, fremskaffer og forvalter Forsvarets Felles Integrerte Forvaltningssystem (FIF). Dette er IKT-anskaffelser i milliardklassen, som når de er ferdig utviklet overføres til Cyberforsvarets avdeling for drift og videre utvikling (DVU).

Sjef IKT-divisjonen i Forsvarets logistikkorganisasjon er ansvarlig for fremskaffelse og eierskapsforvaltning av alt IKT-materiell i Forsvaret, unntatt nevnte Forvaltningssystemer.

I praksis er disse aktørene avhengige av hverandre, men ingen kan gi føringer eller ta overstyrende beslutninger. Organiseringen forutsetter konsensus.

Der det er uenighet mellom aktørene må vi forhandle for å komme i mål. I verste fall, og det har dessverre vært flere tilfeller av det også, forsinkes prosesser som følge av manglende felles prioriteringer, dårlig koordinering og uenighet. Det er gode vilkår for tidstyver.

Jeg har søkt å finne løsninger innenfor de rammene som jeg møtte når jeg tok over stillingen som sjef CYFOR for et drøyt år siden, men nå konkluderer jeg med at noe må endres i forhold til måten vi håndterer IKT på i Forsvaret. Derfor er jeg glad for at oppdraget til FSJ om å gi et militærfaglig råd, også omfattet IKT. I tillegg har FSJ satt i gang en studie ledet av FST/ORG som ser på roller og ansvar innenfor mitt ansvarsområde.

Dersom vi skal kunne imøtekomme målene i IKT-strategien som nevnt innledningsvis – å øke den operative evnen innenfor sikre rammer på mest mulig kostnadseffektivt vis, så ser jeg ingen annen løsning enn at vi kraftsamler IKT-ressursene i Forsvaret og gir en sjef makt og myndighet til å lede og styre IKT-virksomheten helhetlig for Forsvarssjefen.

Jeg besøkte nå i januar min motpart i Storbritannia. Britenes CIO heter Mike Stone – han er tre stjerners, og fortalte at de nylig reorganiserte sin IKT virksomhet. Han har fått samme ansvaret i sin organisasjon som vi har valgt å fordele på fire forskjellige driftsenheter. Britene har delt IKT organisasjonen sin i Service Design, Service Development, Service Operations og Service Enable. Styringsmodellen er lett forståelig for alle. Han kommer mer enn gjerne til Norge for å fortelle hvordan deres styringsmodell virker og hvorfor de endte opp med å velge en slik modell.

NATO har også omorganisert sin IKT virksomhet, der motivet selvsagt er innsparing og effektivisering. Det skjedde den 1. juli 2012. NATO slo sammen 5 IKT relaterte organisasjoner og opprettet det nye NATO Communications and Informations Agency (NCIA) med Koen Gijsberg som sjef. NCIA er ansvarlige for hele verdikjeden i IKT fra anskaffelser til drift og forvaltning; i prinsippet også «logistikk for IT og IT for logistikk».

Jeg har nå presentert det jeg mener er utfordringene i vår styringsmodell på IKT, og vist til en stor nasjon med 10 ganger så mange brukere som oss og NATO sin måte å tenke effektivisering av mitt ansvarsområde.

Så kan vi begynne å snakke om vår egne prioriteringer de siste årene.

Vi har over år brukt vesentlige ressurser på å modernisere Forvaltningssystemene i Forsvaret.

I dag er det slik at vi på forvaltningssiden i stor grad er strømlinjeformet. De fleste prosesser er knyttet til en felles plattform som gjør at man fra økonomistyring til personellforvaltning kan hente ut felles situasjonsbilde og sammenlikne driftsenhetenes data mot hverandre. Dette fokuset har vært nødvendig, og har gjort Forsvaret mye bedre i stand til å drive forsvarlig forvaltning.

Gjennom arbeidet som er gjort med forvaltningssystemene har vi høstet mange gode erfaringer om mulighetene som digitaliseringen gir oss samt hvilke utfordringer man står ovenfor i så kompliserte prosesser.

På operativ side er situasjonen i dag den samme som den var på forvaltningssiden for noen år tilbake. Det vi ikke har tatt tak i, og som gjenstår, er å samle de mange operative systemene våre på taktisk nivå innenfor en felles løsning.

Forsvaret har lenge hatt et behov for en felles sikker taktisk IKT-plattform som grunnlag for effektivt samvirke og fellesoperasjoner.

Det har ført til, at det over tid har vokst frem mange forskjellige IKT plattformer som interimløsninger – for samvirke på lavere nivå internt i forsvarsgrenene og spesialstyrkene. Intensjonene har vært de beste men konsekvensene har vært at løsningene har gjort det kostbart å drifte og vanskeligere å knytte Forsvarets avdelinger sammen da systemene ikke nødvendigvis snakker sammen.

Jeg mener Forsvaret i fremtiden skal ha tre sikre IKT-plattformer i bruk. En plattform for høygradert informasjon og høygraderte prosesser, en plattform for det lavgraderte og en plattform for ugradert informasjon og ugraderte prosesser.

Beredskap og reaksjonsevne for det norske Forsvaret er tett knyttet til evnen til å operere sammen med våre allierte, både her i Norge og i utlandet.

Behovet for å utveksle informasjon starter med de operative prosessene innen ledelse og inkluderer også utveksling av etterretningsdata, lokalisering av egne, såkalte blåprikkdata, måldata, logistikkdata og informasjon som legger grunnlag for samvirke og gjensidig støtte.

NATO har hatt en vesentlig utvikling som følge av deltakelsen i Afghanistan. Som alle kjenner til kom Nato inn i Afghanistan på et tidspunkt hvor digitaliseringen av militære styrker skjøt fart, men hvor standardisering og evne til informasjonsutveksling ikke hadde hatt tilstrekkelig fokus i alliansen.

Den store endringen i NATO skjedde når General McChrystal tok over ISAF. Han konkluderte med at det ikke var mulig å drive en slik operasjon uten en felles IKT plattform hvor alle regionale kommandoer og deres underavdelinger var tilknyttet for nettopp å få samme situasjonsforståelse. Som J2 i SHAPE deltok jeg i dette arbeidet. Etter mye oppholdende strid fra nasjonene, som måtte betale regningen, ble Afghan Mission Network bygget opp. Erfaringene er svært gode.

De som arbeider med IKT i NATO og nåværende militære toppledelse har som mål å etablere et lignende nettverk for hele alliansen – benevnt Federated Mission Networking. Konsept og rammer er nå klart til godkjenning – Militærrådet har akseptert løsningen – og det Nordatlantiske råd vil forhåpentligvis beslutte med det første at dette skal være NATOs fremtidige operative nettverk.

Arbeidet med å ta del i Afghanistan-nettverket fikk selvsagt høy prioritet som følge av Norges deltakelse i ISAF. Den samme holdningen må gjelde for Federated Mission Networking. NATOs plan er å bruke dette som standard sambandsløsning i alle operasjoner og øvelser i fremtiden – nettverket er altså etablert før skarpe operasjoner iverksettes – det vil gjøre alliansen mye mer effektiv, løsningen vil være sikkerhetsmessig godkjent, nasjonenes etterretningsorganisasjoner vil ha forberedt måter å frigi data på og våre innmeldte styrker til NATO vil øve med denne funksjonaliteten i fredstid.

I prinsippet bør vi gå for tilnærmet samme løsning i nasjonale operasjoner. Vårt nettverk bør være tilpasset NATOs tekniske løsning og når vi ønsker det inngå som en del av FMN når NATO gjennomfører øvelser i Norge. I tillegg mener jeg at vi bør bruke flere av de applikasjonene NATO har utviklet på våre egne plattformer – de har vi faktisk allerede betalt for. Min nevnte kollega i UK, Mike Stone gjør akkurat det samme. En slik tilnærming passer som hånd i hanske til FSJ IKT strategi – kosteffektive IKT løsninger som kan forbedre vår operative evne.

I dagens sikkerhetspolitiske situasjon er vår evne til å gjennomføre nasjonale operasjoner og ta imot allierte støtte på norsk jord svært viktig.

Forsvaret vil måtte påregne å stille vår kommunikasjonsinfrastruktur tilgjengelig for våre allierte for å kunne muliggjøre deres operasjoner på norsk jord. Dette krever igjen en robust og moderne infrastruktur med mulighet til å bære mye større trafikk enn det fredstidsdriften til Forsvaret står for.

Med ett kjernenett av fiberoptikk, som jeg håper vi får på plass i fremtiden, vil vi kunne håndtere dette, men vi må også se på behovet for å benytte deler av den sivile kommunikasjonsinfrastrukturen dersom det skulle være behov for det.

Det er nærliggende for oss i Cyberforsvaret å tenke Telenor i denne forbindelse. De er den største eieren av IKT-infrastruktur i Norge, og de har ansvar knyttet til nasjonal beredskap og nasjonale kritiske tjenester allerede. Men, det kan sikkert være andre aktører som er aktuelle også.

Jeg savner et sambands- og IKT-fora hvor nasjonal krisehåndtering og beredskap kan diskuteres med likesinnede organisasjoner fra andre etater men også med næringslivsaktører. Vi hadde tidligere totalforsvarets sambandsnemnd, men den ble nedlagt i 1998.

I lys av den senere tids hendelser, og beredskapsarbeidet som vi tidligere har iverksatt i Cyberforsvaret, føler jeg behov for å diskutere utfordringer innenfor digitale trusler, roller og ansvar, samt nasjonal krisehåndtering og mobilisering i et IKT perspektiv. Jeg ser på Nasjonal Kommunikasjonsmyndighet – tidligere post og teletilsynet som en naturlig aktør som kan lede noe slikt.

La meg si noen ord om Forsvarets IKT-personell. Det sitter mange her i salen. Forsvaret er en organisasjon med svært mye kompetanse på IKT-siden. Vi har meget dyktige medarbeidere innenfor Forsvarets fire IKT-avdelinger. De jobber hardt innenfor det styringskonseptet som Forsvarets øverste ledelse har gitt dem. Moderniseringen av Forsvaret har de siste 15-20 årene holdt et stabilt og jevnt tempo. Vi har en av verdens mest moderne militære organisasjoner, og vi har vært flinke til å ta ny teknologi i bruk. En del av æren for det går nettopp til dette personellet.

Samtidig er det nødvendig å understreke at vi kunne ha vært flinkere – det gjelder oss alle, og at det er områder hvor vi er nødt til å utvikle oss videre for å kunne fortsette å være en styrkemultiplikator for Forsvarets evne til forsvarlig forvaltning og operative virksomhet.

Under Forsvarssjefens foredrag nylig ble dere orientert om prosessen med det kommende fagmilitære råd. Dette arbeidet vil være viktig også for Forsvarets IKT-virksomhet. Jeg har i kveld valgt å være åpen og ærlig om våre utfordringer innenfor IKT i forsvaret slik jeg ser det – det kommer Cyberforsvaret til å fortsette med frem til FSJ gir sitt råd til politisk ledelse.

Jeg sa innledningsvis at vi ikke er på rett veg til å nå de tre strategiske målene i FSJ IKT strategi.

Når jeg var så kategorisk så skyldes det følgende;

Konsekvensene av å kutte radikalt i IKT-investeringene er at limet som knytter Forsvaret sammen blir borte på enkelte viktige områder, og effekten av øvrige viktige investeringer blir redusert. Det moderne Forsvaret kan ha verdens beste hovedkvarter, etterretningstjeneste, kampfly, fartøy og kampkjøretøy, men om disse kapasiteten ikke har forutsetning for å operere samlet med samme situasjonsforståelse i nasjonal og alliert sammenheng vil vi ikke realisere en vesentlig styrking av Forsvarets operative evne som helhet.

For å oppnå en bærekraftig utvikling må det investeres i den hensikt å sanere de mange gamle operative IKT løsningene vi har og få alt over på færre IKT plattformer. Å drifte de mange gamle løsningene blir mer og mer kostbart både i kroner og øre samt å holde vedlike kompetansen på vårt personell som skal drifte og forvalte dette. Driftsutgiftene på IKT vil fortsette å øke år for år hvis vi ikke tar grep.

Jeg er også bekymret for Forsvarets evne til å opprettholde handlefriheten i cyberdomenet – sikkerhetsmessig har min organisasjon en jobb å gjøre sammen med FLO IKT. Det er også en kompleks sak som berører avdelingskultur, gode arbeidsrutiner, roller og ansvar mellom organisasjoner men også investeringsbudsjettet. Dette ønsker jeg ikke å gå i detalj på her, men de som sitter med ansvar i salen forstår godt hva jeg mener.

Jeg mener også det er for mange tidstyver i IKT-virksomheten. Forsvaret er en kompleks virksomhet med mange avhengigheter. Slik jeg ser det, er helhetlig styring og ledelse innen IKT området en forutsetning for å høste de effektene som Forsvarssjefen etterlyser i sine strategiske mål. Det går an å se til andre land og NATO for å lære hvordan de gjør det og forstå hvorfor de tar grepene de gjør.

Vi må også fortsette å utvikle virksomheten vår i retning av å kunne integreres mye tettere med NATO. Nasjonens evne til å forsvare seg selv er tett knyttet opp mot vår evne til å operere sammen med våre allierte, og det stiller krav både til vår egen IKT-virksomhet, vår kommunikasjonsinfrastruktur og vår videre utvikling av det nettverksbaserte forsvar.

Takk for oppmerksomheten – jeg vil nå bruke resten av tiden jeg har tilgjengelig til å besvare spørsmål dere måtte brenne inne med.

Foredrag i Oslo Militære Samfund

Mandag 18. februar 2013

Generalmajor Roar Sundseth
Sjef Cyberforsvaret

Foto: Kjell Huslid, OMS

«Cyberoperasjoner – Utfordringer i Cyber»

 

Gode kollegaer, mine damer og herrer.

Når jeg står her foran dere i dag er det som sjef for et nytt virksomhetsområde i Forsvaret – Cyberforsvaret. Selv om media har framstilt oss som den nye forsvarsgrenen, er vi ikke formelt etablert som det. Men hvorfor har det da vært nødvendig å ta grepet med å etablere Cyberforsvaret?

La meg starte med å sitere fra Forsvarsjefens foredrag her i Oslo Militære Samfund for ca. en måned siden;

”Vårt samfunn og vår militære evne bruker cyberdomenet på lik linje med land-, luft-, og sjødomenet. Det er i dette området vi er svakest. Ikke bare i Forsvaret, men hele samfunnet. I videreutviklingen av Forsvaret må vi ha kunnskap, forståelse og dybdesyn i forhold til hvordan vi skal møte cyberutfordringen og hvordan vi framover skal handle og opptre i dette domenet”.

 

La meg nå ta dere tilbake til vinterøvelsen i 2005. En F-16 på rekognoseringsoppdrag lokaliserte ett av sambandsknutepunktene til sambandsbataljonen i øvingsområdet. Det ble besluttet å sette inn et spesialstyrke-angrep mot knutepunktet, støttet av to cyberoperatører. Spesialsoldatene sikret knutepunktet, og de to fagspesialistene sikret seg tilgang til kommando og kontrollsystemet til 6 divisjon. De sendte så ut en melding som, kort oppsummert, kunngjorde at de var fienden og at de nå hadde kontroll over K2-systemet. Meldingen ble plukket opp av sambandsoffiseren i brigaden som umiddelbart slo alarm.

La oss stoppe et øyeblikk og vurdere konsekvensene av det som fant sted.

Operative avdelinger kunne nå ikke stole på K2-systemet inntil integriteten var gjenopprettet. En kunne ikke stole på at ordrer som ble sendt var autentiske. Tempo i operasjonene ble i beste fall kraftig redusert, om de ikke stoppet helt opp. Evne til å utøve kommando- og kontroll var sterkt redusert. Alle operasjonsplaner måtte antas å være kompromittert, og all informasjon i nettverket måtte man anta var i motstanderens hender, systemet måtte erklæres som ugradert. Motstanderen hadde, for å si det mildt, alle mulige forutsetninger for å lykkes med sine operasjoner mot Hærens avdelinger i det tidsvinduet 6. divisjon trengte for å isolere fienden i nettverket, rerute sambandet, sette nye kryptonøkler og gjenopprette tilgjengeligheten og integriteten til systemet.

Dette var i 2005 – på de åtte årene som har gått siden den tid har verden endret seg kraftig. En dyktig cyberoperatør kan i dag oppnå de samme effektene som jeg her har skissert, uten å være fysisk til stede på knutepunktet. Behovet for å ha styrker på bakken i en slik operasjon er ikke lenger nødvendigvis til stede og risikoen, både for å ta tap og for å bli oppdaget, er sterkt redusert.

Vi har, siden den gang, sett en kraftig oppbygging av cyberkapasiteter verden over. Både blant våre allierte og blant de som potensielt kan bli våre motstandere.

For et par uker siden ble det forøvrig kjent at amerikanerne har besluttet å fem-doble størrelsen på US Cyber Command.

 

Cyberdomenet er en arena hvor trusler har materialisert seg også hos oss. Ikke minst fordi bruken av det digitale rom og spesielt internett er av vital interesse og betydning for samfunnet vårt. Av den grunn er det også lett å se betydningen av det i en militær sammenheng – vi kan ikke operere effektivt uten tilgang til og beskyttelse av våre ledelsessystemer som alle bruker cyberrommet som transportvei for formidling av informasjon og ordrer.

Jeg ser på cyberdomenet som et globalt menneskeskapt domene som er av like stor viktighet for oss som land-, sjø- og luftdomenet.

Det er nettopp av den grunn jeg vil hevde at det å opprettholde Forsvarets tilgang til, og bruk av, det digitale rom er av vital betydning. Derfor må også militære ledere forstå hva cyberdomenet er og ikke minst erkjenne at den raskt voksende trusselen mot våre datasystemer er en av de alvorligste trusler mot vår nasjonale sikkerhet i årene framover. Hyppige forsøk på inntrenging i våre nettverk og systemer er hverdagen vår. Disse forsøker å kompromittere, stjele, endre eller fullstendig ødelegge informasjon for oss. Derfor er det også av fundamental betydning at våre politiske og militære ledere erkjenner viktigheten av cyberdomenet som et menneskeskapt domene som også er et krigføringsdomene, i likhet med de godt kjente og ”gamle” krigføringsarenaer; land, sjø, luft og rommet.

 

Hva er så dette Cyberdomenet?

Det er et vanskelig spørsmål, og det er utfordrende å gi et presist svar. Jeg skal ikke prøve meg på en definisjon over to setninger, til det eksisterer det fortsatt for mange forskjellige definisjoner, alt avhengig av hvem man spør. Ser vi til vår nye nasjonale strategi for informasjonssikkerhet som ble utgitt av Regjeringen før jul i fjor, så definerer de cybersikkerhet som “Beskyttelse av data og systemer som er koblet til internettet”. I en militær sammenheng så blir dette noe snevert av to primære årsaker. Det ene er at vi har mye IKT som er sårbar, selv om den ikke er knyttet til internett. Det skal jeg komme tilbake til. Det andre forholdet er at vi i militær sammenheng i verste fall står overfor en svært målrettet, ressurssterk og tålmodig motstander som går langt for å få tilgang til systemene våre. Det betyr at de vil bruke, som jeg også kommer tilbake til, metoder for å få tilgang til systemer som også er frakoblet fra internett, og da på en helt annen måte enn det private borgere og næringslivet står overfor.

Jeg drister meg derfor, fra et fagmilitært perspektiv, til å benytte en annen definisjon i dette foredraget. Jeg mener Cyberdomenet er et operativt domene bygd opp av IKT-baserte systemer som bærer og lagrer data og informasjon; eller styrer sentrale militære funksjoner og prosesser i de øvrige fire operative domenene.

Cybersikkerhet vil jeg da si er å bevare integriteten til IKT-baserte systemer som bærer og lagrer data og informasjon, samt å bevare integriteten til de funksjonene og prosessene som styres gjennom Cyberdomenet.

Cyberforsvar eller defensive cyberoperasjoner er i videreføringen av dette de handlinger, rutiner og mekanismer som ivaretar cybersikkerhet, og som gir handlefrihet i samt drifter og utvikler den militære bruk av cyberdomenet.

 

La meg videre gjøre rede for min forståelse av cybertrusselen

Også i det norske samfunnet ser vi at cybertrusselen får mye oppmerksomhet. Vi hører mye snakk om kriminalitet, mobbing og trakassering, om terrorisme, svindel og faren for spionasje og angrep som kan lamme infrastrukturen vår. Jeg har forsøkt å forklare for mange den militære dimensjonen av denne trusselen, men den har hittil fått noe mindre offentlig oppmerksomhet enn de utfordringene som ligger journalister og nasjonens innbyggere nærmere.

Tillat meg innledningsvis, helt kort, å oppsummere de fire hovedmomenter som jeg tidligere har forsøkt å formidle.

  1. Cybertrusslen er økende. Det kan vi ikke komme bort fra. Trusselen øker hurtig, og i et tempo som gjør det svært utfordrende for oss å følge utviklingen. Den er registrert økende fra alle aktører i samfunnet, fra Etterretningstjenesten og Nasjonal sikkerhetsmyndighet til den enkelte borger og bedrift.
  2. Forsvaret blir potensielt mer sårbart. Forsvaret innfører stadig større mengder IKT og høyteknologiske systemer. Den pågående prosessen med å nettverksbasere Forsvaret gjør at vi kan bli mer sårbare og at vi allerede i dag må bygge de sikkerhetsmekanismene som er nødvendig for å gjøre oss tilstrekkelig trygge framover.
  3. Absolutt sikkerhet finnes ikke. Det er, etter vår vurdering, en illusjon å tro at man kan bygge systemer som det er umulig å trenge inn i. Vi må selvsagt gjøre systemene våre så sikre som overhodet mulig. Men, vi må også alltid være bevisst på at systemene våre kan bli infiltrert og derfor ha rutiner for å håndtere inntrenging, degradering og ødeleggelse av nettverk.
  4. Samarbeid er nøkkelen til å imøtekomme trusselen. Alle gode krefter, på tvers av sektorer, offentlig og privat, må samarbeide, og vi må utveksle informasjon og erfaringer med hverandre for derved å gjøre hverandre så trygge som overhodet mulig.

Vår politiske ledelse erkjente i 2012 i den nye Langtidsplanen for Forsvaret at Cyberdomenet er det femte krigføringsdomenet. Denne erkjennelsen var, på mange måter, svært viktig for Forsvaret. Ikke minst fordi det i erkjennelsen ligger en rekke vesentlige konsekvenser for oss. Alle våre operasjoner, all vår øving og all vår trening har fått en ny dimensjon. Vår forvaltning og fredstidsdrift har også fått en ekstra dimensjon å forholde seg til. All vår planlegging, fra skarpe operasjoner til Forsvarets nye IKT-strategi må ta inn over seg og inkludere konsekvensene av denne erkjennelsen. Informasjonssikkerheten og integriteten til Forsvarets kommando- og kontrollsystemer ligger ikke til oss i Cyberforsvaret alene. Hele Forsvarets organisasjon, ned til den enkelte ansatte, må flette dette perspektivet inn i sin daglige aktivitet og sitt daglige virke. Ellers kan konsekvensene bli store.
Jeg og min organisasjon har selvsagt en viktig rolle i dette. Vi skal utvikle bestemmelser, bygge forsvarbare strukturer og planlegge og utvikle de strukturene som vi har behov for i fremtiden. Vi skal også være i stand til å håndtere truslene når og hvor de måtte oppstå i Forsvarets systemer, men det er fortsatt den enkelte ansatte i Forsvaret som er vårt førstelinjes forsvar mot truslene som eksisterer der ute – både sivile og militære trusler.

La meg her også benytte anledningen til å understreke at jeg nok har en mer takknemlig jobb enn mange av mine samarbeidspartnere på dette området. Sikkerhetstenkingen i Forsvaret er god. Bevisstheten er god. Vi er nok den delen av samfunnet som er best når det kommer til denne type trusler. Det forebyggende sikkerhetsarbeidet som har blitt gjort i Forsvaret i all sin tid, og spesielt kanskje under den kalde krigen, gjør at vi er en sikkerhetsbevisst organisasjon.

 

Så noen ord om trusselen – dette fra et militært perspektiv

La oss starte med det åpenbare. De aller fleste militære aktører i verden har tatt inn over seg at det finnes muligheter og utfordringer i det digitale rom. De aller fleste moderne militære organisasjoner har, på lik linje med oss, etablert en kapasitet for å kunne forsvare seg mot trusler i dette nye domenet.

Mange nasjoner har også etablert avanserte organisasjoner som kan drive etterretningshenting og angrep i det nye domenet. Jeg anser det som naturlig, i det at man ser som jeg nevnte, muligheter i det nye domenet, men i det at man ser muligheter i det nye domenet ligger det også en usikkerhet for hvordan trusselen vil utvikle seg. Det sitter tusener av kloke hoder og jobber med metoder for å skaffe seg tilgang til militære datasystemer og for å analysere hva de kan oppnå hvis de får tilgang.

Vi vet ikke hvilke muligheter de kommer til å finne i fremtiden. Det i seg selv er et meget godt argument for å utvikle solide defensive militære kapasiteter. Det har da også, som tidligere nevnt, de fleste væpnede styrker i dag erkjent, og tatt grep for å utvikle.

Jeg leser dette som en erkjennelse av en trussel. Mer spesifikt, en erkjennelse av en trussel med flere fasetter. Skal vi se det fra et norsk perspektiv så snakker vi om en trussel som kan brytes ned til tre primære trusselaktører: Aktivister, kriminelle og nasjonalstater.

For å starte med den mest grunnleggende trusselen: de kriminelle miljøene. Jeg velger å se kriminalitet som en digital trussel som rettes bredt mot hele samfunnet. Her blir Forsvaret i hovedsak et mål som alle andre. De aller fleste kriminelle hendelsene rettes ikke spesifikt mot oss, men bredt mot hele samfunnet. De aller fleste tilfeller av kriminell aktivitet har som mål å sikre økonomisk vinning, være det seg gjennom ulovlig tilegning av persondata, utpressing eller tyveri av kreditkortinformasjon. Vi har også registrert og avverget noen hendelser hvor målet for det som vi antar er kriminelle elementer, har vært å tilegne seg informasjon og kunnskap som så kan selges. Altså grunnleggende spionasje med økonomisk vinning som mål.

Dette er, på mange måter, ikke en trussel som Forsvaret har spesielt stor eierskap til, eller nærer stor frykt for. Det er likevel den trusselen som i omfang er størst. Det er også, av den grunn, den trusselen som krever mest ressurser å håndtere. Samtidig er det også slik at denne trusselen genererer en bakgrunnsstøy som kan gjøre det lettere å gjennomføre mer alvorlige angrep.

Går vi ett steg opp på trusselaktør-listen så finner vi aktivist-organisasjonene. Disse er noe mer kompliserte å forholde seg til. Der hvor kriminelle miljøer, som sagt, stort sett forholder seg til uadresserte trusler, så vil aktivistene som regel ha et klart målrettet fokus. Basert på forskjellige idealistiske motiver, grupperer de seg sammen for å gjennomføre målrettede angrep mot organisasjoner, nettsider eller andre som igjen fremmer oppmerksomhet mot eller i ønsket retning og sånn sett fremmer deres sak. Den mest kjente av aktivistorganisasjonene på nettet er Anonymous, som i situasjoner kan mobilisere tusenvis av data-aktivister. På den andre yttersiden kan vi nevne menig Bradley Manning, den amerikanske soldaten som stjal store mengder dokumenter fra det amerikanske forsvaret og leverte disse til Wikileaks i 2010. Om det er individer eller store grupperinger, aktivistene er en større utfordring for oss, siden de ofte målrettet peker ut Forsvaret som mål, systematisk leter etter svakheter i forsvarssystemene våre og så etterstreber å ramme oss.

Samtidig er aktivistene heller ikke en trussel som i overveldende stor grad truer oss eller kjernen i vår virksomhet. De har evner og ferdigheter til å trenge seg inn i til dels avanserte systemer, om ikke annet fordi de kollektivt bygger seg opp mye kunnskap. De har også systemer som gjør dem i stand til å bruke sin felles datakraft til å ramme systemer som et organisert kollektiv, på en helt annen måte enn det kriminelle miljøer evner. Når heller ikke aktivistene er en stor trussel mot en militær aktør så er det fordi de mangler to sentrale kapasiteter som skal til for å være en tung trusselaktør i Cyberdomenet; organisering og tålmodighet. Siden disse aktivistgruppene som regel er løst organiserte så er langsiktig og detaljert planlegging, etterretning, rekognosering og koordinering sjelden til stede. Snarere tvert om så velger disse aktørene som regel ut et mål, hamrer løs på det i fellesskap for deretter å erklære seier og bevege seg videre mot nye mål.

Likeledes har medlemmene i slike grupperinger, siden de er løst organiserte og ikke lønnes eller tjener penger på aktiviteten, en tendens til å miste fokus etter en kortere periode. Det er sjelden man ser aktivister opprettholde fokus ut over en uke.

Dette står i motsetning til det som er, etter min mening, den virkelig store trusselen i cyber: Advanced Persistant Threats, eller avanserte, gjentagende trusler. Aktivistene kan være avanserte, men de har sjelden tålmodighet til å holde ut over tid. Kriminelle er en kontinuerlig utfordring, men de er sjelden spesielt avanserte i angrepene sine.

Dette skyldes i hovedsak at det kreves store ressurser for å opprettholde avanserte angrep, helst i det skjulte, over tid. Vi lander derfor på at det er nasjonalstater som utgjør den største trusselen, også i det digitale rom.

Det mest kjente angrepet som har funnet sted er Stuxnet-angrepet som ble oppdaget i 2010. Stuxnet var en dataorm, infiltrert inn i kontrollsystemene til det iranske atomvåpenprogrammet med det mål for øye å ødelegge sentrifugene som ble brukt til å anrike uran. Over en periode på mange måneder ble utallige av sentrifugene til iranerne ødelagt. Stuxnet hadde angivelig manipulert spin-syklusene til sentrifugene slik at de for alle praktiske formål ristet seg selv i stykker.

Hvem som står bak er ukjent, og selv om medierapporter hevder det er USA og Israel som står bak, så er ikke dette bekreftet fra offisielt hold. Noe som heller ikke vil skje. Grunnen til at jeg bringer Stuxnet-angrepet på bane er at jeg ønsker å gjøre rede for hva som kreves for å kunne gjennomføre en slik operasjon. Den som er ansvarlig for Stuxnet har måttet drive utstrakt etterretningsvirksomhet for å få kunnskap om hvor anleggene til iranerne ligger, hvilke sentrifuger de bruker, hvilke datamaskiner som styrer de og hvordan disse systemene kan påvirkes. Deretter har man måttet gjennomføre digital etterretning for å finne sårbarheter i sikkerhetsmekanismene til anlegget for å kunne finne ut hvordan man skal infiltrere koden. Videre har man måttet bygge selve våpenet, Stuxnet-koden, og prøvd den ut over tid for å sikre at den hadde effekten man ønsket. Og la meg understreke at dette er ekstremt komplisert kildekode. Svært mye testing ligger bak. Etter tilstrekkelig prøving og testing har så koden blitt infiltrert og deretter har den ansvarlige ventet på resultater som har kommet over lengre tid. For å oppsummere kort: Svært mange mennesker har brukt meget store ressurser over flere år fra ideen ble unnfanget til det første angrepet ble oppdaget. Og, selvsagt, uten at det ligger økonomisk gevinst og venter i andre enden.

Det er bare nasjonalstater som evner å forplikte så store ressurser over tid.

Så nasjonalstater er den største trusselen vi står overfor, og de aller fleste har fått øynene opp for mulighetene i Cyberdomenet. Mange utvikler kapasiteter for å drive operasjoner i det nye domenet, og de fleste av oss jobber også aktivt for å få på plass de nødvendige sikringsmekanismene for effektivt å kunne drive cyberforsvar. Samtidig drøftes de juridiske bindingene og utfordringene knyttet til det nye domenet. Det er mye nytt tankegods som skal frembringes, drøftes og belyses. Samtidig er jeg av den oppfatning at vi allerede har et juridisk rammeverk som er godt nok til å kunne regulere den militære bruken av Cyberdomenet, både hva gjelder defensive og offensive cyberoperasjoner.
Den juridiske utfordringen er ikke ny for oss fagmilitære

Vi snakker, i militær sammenheng, i hovedsak om nasjonal lovgivning og folkeretten, herunder også FN-pakten og de til enhver tid gjeldende konvensjoner og avtaler som Norge har forpliktet seg til å følge.

Noen av disse er av nyere dato, andre er gamle. Moderne militære konsepter passer ikke alltid inn direkte i jussen, og man må se nye konsepter opp mot lovverket og folkerettens intensjon. For oss fagmilitære har vi uansett alltid hatt som praksis å tolke nye fagmilitære konsepter og kapasiteter opp mot gjeldende regelverk og intensjonen som ligger til grunn for dette.

Jeg tror, oppriktig, at regelverket og jussen som vi har er godt nok til å gjøre disse vurderingene. Jeg tillater meg en rask gjennomgang med utgangspunkt i min organisasjons gjøremål, altså defensive cyberoperasjoner.

Tillat meg å starte med det enkle. Selvforsvar. Dersom noen angriper Norge i cyber har vi anledning til å forsvare oss mot angrepet. Det er i utgangspunktet enkelt, selv om det i praksis selvsagt er noe mer komplisert i det at angriperen ikke krysser noen fysisk grense, men kan befinne seg på andre siden av jordkloden – om vi i det hele tatt vet hvem det er. Attribusjon – peke ut den ansvarlige – i Cyberdomenet er svært utfordrende.

Retten til selvforsvar er, med andre ord, ikke nødvendigvis et spørsmål om å bruke makt som reaksjon på et digitalt angrep, men det kan være nødvendig å komme med andre former for reaksjoner. Kanskje Norge må vurdere å stenge tilgangen fra enkelte dataterminaler til norske nettadresser. Kanskje vi må stenge all trafikk fra en annen stat eller stenge enkelte brukere ute fra å kunne kommunisere med våre systemer. Uansett så er vår rett til å forsvare våre interesser, systemer og vår operative evne, rimelig ubestridelig. Jeg ser lite grunnlag for å problematisere dette ytterligere fra et militært perspektiv. Utfordringen derimot ligger i den juridiske og politiske vurderingen og tolkningen av hva som har funnet sted.

Maktforbudet i FN-pakten er, slik jeg tolker det, også dekkende for offensive cyberoperasjoner. Det vil si at bruk av cybermakt, eller trussel om bruk av cybermakt, mot andre nasjoner er forbudt. Forbudet mot maktbruk dekker ikke bare fysisk ødeleggelse som følge av maktbruk, men også ikke-kinetiske konsekvenser som f.eks. manglende evne til nasjonal suverenitetshevdelse, store økonomiske tap, tap av intellektuell eiendom i stor skala eller tap av nasjonal infrastruktur eller naturressurser. Der det brukes ikke-kinetiske virkemidler, for eksempel cybervåpen er det vurderingen av følgeskaden/effekten som er sentral når det skal vurderes om maktforbudet er brutt.

Tillat meg å problematisere dette: Et angrep på styringssystemene for norsk petroleumsindustri i Nordsjøen, kan føre til en stans i produksjonen for en periode. Hvor lang tid, avhenger selvsagt av den tid det tar å identifisere, isolere og rense systemene og gjenopprette normal drift. Et slikt angrep har opplagt konsekvenser for Norge som nasjon. Tap av oljeinntekter, økt risiko for norske borgere som jobber på anleggene, inngrep i nasjonal suverenitet, mulig miljøkatastrofe, med mer. Som ofte er tilfelle, er det vanskelig å bevise hvem som står bak hendelsen. Vi klarer kanskje å spore utgangspunktet for hendelsen til et fremmed land, men evner ikke å påvise hvorvidt det er kriminelle, aktivister eller en stat som står bak. Spørsmålet som blir hengende i luften er selvsagt: Er Norge i krig?

I slike gråsonetilfeller er det vi møter den juridiske og folkerettslige utfordringen i størst grad. Hadde dette vært en hendelse i land- eller sjødomenet hadde det vært ganske så enkelt. Hadde kriminelle eller aktivister inntatt en norsk oljeplattform og med makt stengt ned produksjonen så hadde det, mest sannsynlig, vært ansett som terrorisme. En sak for politiet og med støtte fra Forsvaret. Hadde det vært en annen nasjonalstats væpnede styrker som utførte samme handling hadde nok Norge sett det som et angrep på norsk suverenitet.

Men i grenselandet mellom utfordringen med å koble hendelser i Cyberdomenet til spesifikke aktører, og den distansen som man oppnår mellom handling og trusselaktør i domenet, gjør at det blir vanskelig å komme med absolutte handlings- og reaksjonsmønstre som dekker enhver hendelse. I bunn og grunn vil det måtte være to forhold som legger grunnlaget for nasjonal reaksjon på denne type hendelser. På den ene siden etterretningsinnsamling og analyse av hendelsen som vil kunne gjøre rede for hva målsetningen med handlingen var. Det andre forholdet er, hvilken konsekvens hendelsen har fått? Med utgangspunkt i målsetting og konsekvens vil politiske myndigheter fra sak til sak måtte vurdere hvilke tilsvar Norge som nasjon skal gi på denne type hendelser.

Dette vil også, i gitte tilfeller, kunne føre til at ikke-statlige aktører vil måtte stilles til ansvar gjennom politisk dialog mellom Norge og andre stater hvor disse aktørene har sitt virke. Jeg ser ikke bort fra at det vil oppstå tilfeller hvor Norge må stille krav til at andre nasjoner følger opp sitt ansvar om å sikre at deres innbyggere eller grupperinger innenfor deres grenser ikke aktivt bryter norsk og internasjonal lov.

Jeg utelukker heller ikke at det kan være nødvendig med bruk av myke maktmidler, gjerne i samarbeid med andre påvirkede nasjoner, for å presse nasjonalstater til å ta ansvar for grupperingers handling som har utgangspunkt i deres territorium. Økonomisk press eller blokade er ikke unaturlige reaksjoner dersom hendelser blir alvorlige nok til at det er en rettmessig og proporsjonal respons.

Uavhengig av hvilke respons man ser som naturlig eller relevant, så er det viktig å understreke at det til enhver tid vil være snakk om en politisk kontroll med responsen i dette domenet på samme måte som i de andre fire domenene hvor man driver militære operasjoner.
Hva er så et angrep fra det digitale rom?

Vi ser, i mediene og andre steder, at begrepet «angrep» ofte brukes om de fleste cyberhendelser. Vi ser også at aktivistbevegelser liker å bruke militære begreper når de snakker om sin aktivitet, og sivile aktører bruker også begrepet når de har blitt rammet av denne type hendelser.

For oss fagmilitære er det slik at begrepet angrep veier tungt. Det å bli angrepet er ikke noe som vi tar lett på, og det er en handling som hos oss møtes med klar respons. Det er, med andre ord, et tyngre vektet begrep i den fagmilitære verden enn det er i resten av samfunnet.

Samtidig er det også slik at begrepet angrep i en folkerettslig kontekst er en handling som berettiger legitim bruk av selvforsvarsretten til å gjengjelde med væpnet makt og militære operasjoner. Det varierer selvsagt fra den bruken av begrepet angrep som man benytter i det daglige og som man ser i mediene knyttet til datavirus eller tyveri av persondata og økonomiske verdier.

Jeg finner det derfor hensiktsmessig å drøfte bruken av begrepet angrep. Det er flere utfordringer koblet til dette begrepet. På den ene siden er det utfordrende innenfor vårt virkeområde – cyber å knytte en handling til en spesifikk trusselaktør. Det betyr at vi i praksis sjelden kan si 100 prosent sikkert hvem som står bak en handling. Dette gjør at det uansett vil være vanskelig å utforme en respons på et angrep – i hvert fall i de aller fleste tilfeller.

Samtidig er det også slik at det er viktig å kunne klassifisere alvorsgraden av cyberoperasjoner rettet mot Norge. Om ikke annet så for å vite når man utsettes for hendelser hvor man må orientere og involvere politisk- og militærstrategisk nivå. I sin minst kompliserte form er et angrep en handling som medfører fysisk ødeleggelse, dødsfall eller opprettelig skade på viktige systemer. I slike tilfeller er det få som vil diskutere hvorvidt et angrep har funnet sted. Her finnes naturlig nok også kompliserende faktorer, som hvorvidt konsekvensen var villet og planlagt, eller om den skjedde som en ikke planlagt bivirkning.

Samtidig finnes det også handlinger hvor man ser permanente effekter, men kanskje ikke ødeleggelse eller dødsfall. Storstilt industrispionasje er et eksempel på alvorlige handlinger som kan forsvare en respons fra norsk side, men som ikke utløser selvforsvarsretten i henhold til FN-pakten.

I Forsvaret opplever vi hendelser som faller inn under den sivile bruken av ordet angrep hver eneste dag. Til dels utallige ganger daglig. Men dersom vi skulle brukt angreps-begrepet, som militære, hver gang dette fant sted så ville vi vært i vesentlig trøbbel. Dels fordi vi da bruker upresise begrep som lett kan feiltolkes i våre egne rekker, men også fordi vi vanner ut det som for oss som kollegium er et alvorstynget begrep.

I Cyberforsvaret har vi derfor forsøkt å benytte begrepet uønskede hendelser eller cyberhendelser for å beskrive mindre alvorlige hendelser, og bevart begrepet angrep i sin folkerettslige betydning.

 

Cyberangrep i konvensjonelle militære operasjoner

Et annet belastet begrep som vi ser dukke opp jevnlig i nasjonale og internasjonale medier er cyberkrig. La meg først si at jeg ikke er begeistret for begrepet. Ikke fordi cyberangrep ikke er en del av krigføring, men fordi det gir inntrykk av at det finnes en mulighet for krig og konflikter som utelukkende utkjempes i cyberdomenet. Det tror jeg ikke vil være tilfelle, og det er helt klart ikke tilfelle der vi står i dag.

Derimot er det viktig å erkjenne at angrep i cyberdomenet, og da mener jeg angrep i folkerettslig forstand, vil være en trussel som er og vil forbli en naturlig del av enhver konvensjonell militær konflikt og krig i fremtiden.

Jeg tror også at en av de første indikasjonene vi i fremtiden vil ha av at nasjonen er i fare for å bli angrepet, vil være når vi ser en opptrapping av cyberhendelser mot Forsvaret og kritisk samfunnsinfrastruktur.
Dersom vi skal forsøke å se dette som en del av en større operasjonsplan med en serie parallelle operasjonslinjer, så vil nok planlegging og tilrettelegging for digitale angrep igangsettes tidlig – kanskje før en beslutning om å igangsette et væpnet angrep mot Norge har blitt fattet. Den første indikasjonen på at noe er i gang vil være infiltrasjonsforsøk, kall det digital oppklaringsvirksomhet, mot nettverkene våre. Disse vil ta form ved at man forsøker å finne sårbarheter i nettverkene, finne måter å infiltrere kode på eller forsøk på å få våre ansatte til å gi trusselaktøren tilgang ved hjelp av forskjellige metoder.

Disse forsøkene vil i stor grad være skjult, og en motstander vil mest sannsynlig etterstrebe å skjule seg i bakgrunns-støyen som kriminell aktivitet utgjør hver dag. Dersom de finner hull i systemene våre vil de infiltrere ondsinnet kode som så kan spre seg innenfor nettverket, søke å sikre motstanderen tilgang til høyere graderte systemer eller systemer av høyere viktighet enn de som de i utgangspunktet har sikret seg tilgang til.

Dersom de lykkes med å få tilgang til systemene uten at det blir oppdaget vil de ha to valgmuligheter. Det første alternativet er å avvente til de er klare til å innlede et konvensjonelt militært angrep, og så bruke tilgangen sin til å skape forvirring og kaos umiddelbart i forkant av et angrep. Det er mange former for mål som kan være relevante å ta ut i en slik situasjon. Strømproduksjon og mobiltelefoni vil bidra til å spre usikkerhet og forvirring, samt påvirke logistikk, mobilisering og annen støttevirksomhet som man er avhengig av for å avverge et væpnet angrep. Når man beveger seg over i denne form for angrepsoperasjoner evner man selvsagt ikke lenger å operere skjult, og det vil nok bare være et tidsspørsmål før vi får gjenopprettet en normalsituasjon og kastet motstanderen ut av systemet. Hvor lang tid det vil ta er selvsagt umulig å forutsi, men det vil uansett gi motstanderen et handlingsrom i tid som han kan operere i.
Det andre alternativet for motstanderen vil være å drive forstyrrelsesoperasjoner i nettverkene i en konflikteskalerende fase. Dette kan være hensiktsmessig dersom man ønsker å legge press på motstanderen eller at man velger å bruke cyberforstyrrelser som et mykt maktmiddel i et forsøk på å presse igjennom sin politiske vilje. Utfordringen med å drive forstyrrelsesoperasjoner er å holde tilstedeværelsen i nettverkene skjult, for derigjennom å kunne ha muligheten for å utføre direkte angrep senere. Jo større grad av forstyrrelser man bedriver og aktivitet man har i nettverkene, jo større er faren for at vi blir bevisst på at noen har infiltrert systemet og starter tiltak for å sikre det.

Om vi setter disse operasjonene på en tidslinje fra venstre mot høyre, så vil disse operasjonene i stort foregå tidlig i en operasjon. Cyberangrep vil videre kunne brukes for å understøtte taktiske konvensjonelle operasjoner, også senere i en kampanje.

For Cyberforsvaret som en defensiv aktør er det selvsagt viktig å ha tilstrekkelig kontroll for å kunne avverge denne type angrep allerede i infiltreringsfasen. Det er utfordrende siden motstanderen i et slikt tilfelle vil være en meget profesjonell, kunnskapsrik og ressurssterk aktør. Evnen til å bringe det skjulte frem i lyset og identifisere den avanserte trusselaktøren i en høystakk av støy og cyberhendelser vil være viktig.

Samarbeid og dialog vil være sentralt også her. Dersom noen skulle ønske å starte et større digitalt angrep mot Norge så vil vedkommende mest sannsynlig søke å ramme samfunnet bredt. Det kan bety at infiltrasjon oppdaget av Forsvaret vil kunne bidra til å avsløre en rekke infiltrasjonsforsøk rundt om i samfunnet, som igjen kan være en klar indikasjon på at vi har en alvorlig situasjon under utvikling.
La meg så følge opp med noen tanker om Cyberforsvarets rolle og oppgaver

Min primære oppgave, er å drifte, utvikle og forsvare Forsvarets datasystemer, informasjonsinfrastruktur og nettverk. Dette skal vi gjøre gjennom fred, krise og krig. Videre ut fra dette er det utledet oppgaver knyttet til kompetansebygging, utdanning, styrkeproduksjon, beredskap og investering.

Forsvarssjefen har også gitt meg ansvaret for å lede utviklingen av det nettverksbaserte forsvar, og for å lede konseptutvikling og eksperimentering i Forsvaret. For meg henger dette sammen.

Nettverksbasert forsvar handler om å integrere teknologi, spesielt datasystemer og IKT, inn i den operative planprosessen og om å se muligheter for å utbedre organisasjonsmodeller, ledelsesmodeller og operasjonskonsepter. Alt med det mål for øye å sikre raskere prosesser og hurtigere beslutningssløyfer. Men med nettverksbasert forsvar følger det også sårbarheter. Forsvaret vil, i fremtiden, flette IKT-systemer og teknologi ned til den enkelte soldat. Det vil gi den enkelte soldat bedre situasjonsforståelse, sikre at ordrer går raskere samt gi beslutningstakere bedre kontroll over det militære maktmiddel, men som vi så på vinterøvelsen i 2005 så åpner det også for vesentlige sårbarheter.

Vi soldater er også mennesker, og mennesker gjør seg avhengige av teknologiske løsninger. Dagens ungdom vet, i hvert fall de fleste av dem, ikke opp – ned på kart og kompass. De fleste har GPSer eller smarte mobiltelefoner som gjør dem i stand til å navigere. Men befinner de seg på en fjelltopp i Indre Troms i tett snødrev og slipper opp for batterier har de et problem. Vi må ha en evne til å operere effektivt også om systemene, mot formodning, skulle bli degradert.

Nettverksbaseringen av Forsvaret er viktig, og den er viktig for fremtiden for at vi skal kunne være i stand til å høste optimal operativ effekt ut av de moderne plattformene våre. Et godt eksempel på dette er F-35. Jeg vil driste meg til å påstå at uten Nettverksbasert forsvar så er F-35, på mange måter, bare et nytt fly. Riktig nok et fly som i seg selv er mer moderne, med bedre ytelse og funksjonalitet enn hva vi har på dagens F-16, men fortsatt bare et nytt fly. Den virkelige effekten som Forsvaret som helhet vil høste fra innfasingen av F-35 kommer når flyet knyttes inn i et nettverksbasert forsvar. Når sensorkapasiteten til F-35 gjøres tilgjengelig for Hæren, Sjøforsvaret og Heimevernet og styrker vår felles situasjonsbevissthet. Når våpensystemene i større grad enn i dag kan støtte avdelingene i operasjoner, på tvers av forsvarsgrentilhørighet og når ledelsesprosessene blir raskere og mer fleksible enn det vi har i dag, da vil F-35 gjøre hele Forsvaret bedre, mer robust og mer spisset.

Nettverksbaseringen bygger også, selvsagt, på den informasjonsinfrastrukturen som vi drifter, videreutvikler og forsvarer i dag. Sensordata fra F-35 må mottas på sikre forbindelser ned til bakken, rutes videre gjennom satellittforbindelser, fiberoptiske kabler og radiolinjeskudd for å komme frem til de avdelingene som trenger de data som flyet sender.

Den videre utviklingen av Forsvarets kommunikasjonsinfrastruktur – FKI – er avgjørende for oss. Alle operasjoner vi planlegger og gjennomfører forutsetter bruk av FKIet. Vår evne til forsvarlig forvaltning er avhengig av FKI. Evne til å bygge et situasjonsbilde i luften, på land og på sjøen avhenger av FKI. Kort fortalt er FKI et nav for vår operative evne i fred, krise og krig. Det å ha et tidsriktig, kosteffektivt og robust FKI er derfor mer enn en forutsetning for defensive cyberoperasjoner, det er en forutsetning for Forsvarets operative evne og en viktig operativ leveranse for Forsvaret.
Jeg ønsker avslutningsvis å gjøre noen refleksjoner om hvor vi er og hvor ferden går videre.

Forsvaret er, sammen med resten av samfunnet, på god vei inn i en ny tidsalder hvor rammene for vår virksomhet endres av et nytt trusselbilde som er i hurtig utvikling. Jeg har her i kveld beskrevet min forståelse av trusselen og de utfordringene vi står overfor. Vi ser en økt cybertrussel som er under fremvekst fra tre kanter: Kriminalitet, aktivisme og nasjonalstater. Vi jobber aktivt med å bygge opp tilstrekkelige sikkerhetstiltak til å kunne håndtere denne trusselen.

Det er svært profesjonelle aktører som er aktive på dette området. For kriminelle er det store penger involvert, for aktivistenes del er det mange personer som er villig til å ta del i aksjoner mot samfunnsaktører, næringslivet og myndigheter. For nasjonene er det sterk fokus på å styrke både defensive og offensive cyberkapasiteter, og flere stater putter store ressurser inn på å finne muligheter innenfor det nye domenet.

Som med så mye annet som er nytt så er også dette domenet preget av usikkerhet. Vi vet ikke helt hvilken form fremtidens trusselbilde vil ta, og det gjør oss bekymret.

Samtidig er Norge en nasjon som har alle forutsetninger for å være god på dette nye området. Vi er en teknologisk avansert nasjon, og vi har teknologi, kompetanse og kunnskap nok til å trygge oss for fremtiden – såfremt vi er villige til å prioritere og forplikte ressurser til det. Mange positive ting har funnet sted de siste årene. Norge er bedre rustet for å ivareta informasjonssikkerheten i dag enn det vi var tidligere.
Også innenfor Forsvarssektoren har den positive utviklingen vært merkbar. Langtidsplanen for Forsvaret signaliserte en styrking av de aktørene i Forsvaret som jobber med informasjonssikkerhet. Cyberforsvaret er etablert og Nasjonal Sikkerhetsmyndighet og Etterretningstjenesten ble styrket ressursmessig.

Når det er sagt, teknologisk integrasjon og nettverksbasering gir oss økt operativ evne, men åpner for sårbarheter som allerede i dag må avdekkes og fjernes. Dette jobber vi med hver dag, og jeg har tiltro til at vi vil kunne stå godt rustet for fremtiden – selv om trusselen vil være i hurtig utvikling.

Samtidig ser jeg også at denne nye trusselen i cyber er noe annerledes enn de som vi har stått overfor tidligere. Den er grenseløs, og i liten grad påvirket av tid og rom. Angrep kan, i verste fall, iverksettes på få sekunder – selv om de må planlegges og forberedes over lang tid i forveien.

I dag kan jeg konstatere at vi er i ferd med å bygge et godt og fortrolig samarbeid, basert på tillit, mellom aktørene på vårt område både i Forsvaret og forsvarssektoren, og mot næringsliv, andre etater, akademiske institusjoner og allierte. I samarbeid og dialog skal vi finne vi mulighetsrommet vi trenger for å styrke hverandre på dette området, og for å bygge felles kunnskap og kompetanse for Forsvarets og Norges beste. Det er den raskeste, enkleste og mest effektive måten å imøtekomme denne trusselen på.

 

Takk for oppmerksomheten,

Jeg tar gjerne imot spørsmål fra salen dersom det er noe dere ønsker utdypet